Назад | Перейти на главную страницу

Альтернативы Kerberos для доступа к серверу без пароля

У меня есть несколько серверов Linux и три сервера Windows 2008 R2. Мне нужно было бы решение, которое позволило бы безпарольный вход по SSH с каждого из этих серверов на все остальные. Я мог бы сделать это, сгенерировав ключи на всех машинах и распределив их на все другие серверы, но это решение имеет низкую масштабируемость. Каждый раз, когда я добавляю сервер, я должен раздать его ключ всем серверам. Поэтому мне нужно решение для централизованного администрирования ключа и доступа ко ВСЕМ серверам.

КЕРБЕРОС - подходящее средство для меня? Кто-нибудь знает о каком-нибудь силимларе или лучшем решении для Linux? Спасибо.

Kerberos - лучший вариант, но вы, вероятно, не захотите настраивать его вручную. У него много движущихся частей, и в нем легко ошибиться.

Вместо этого вам следует создать домен и присоединить все компьютеры к нему.

У вас есть три варианта настройки домена для этой среды:

  • FreeIPA. Это хорошо поддерживается в Linux, особенно в дистрибутивах, производных от Red Hat, хотя также доступно в других дистрибутивах. Это ваш лучший выбор, если все или почти все компьютеры работают под управлением Linux; и несколько компьютеров с Windows можно заставить присоединиться к домену с небольшой работой.
  • Active Directory. Известный контроллер домена на базе Windows, который является лучшим выбором, если большинство компьютеров работают под управлением Windows.
  • Обе FreeIPA и Active Directory. Если у вас смешанная среда, вы можете запустить FreeIPA для управления системами Linux и Active Directory для управления системами Windows с соответствующими междоменными доверительными отношениями между ними.
  • Samba 4 выдает себя за Active Directory. Вы часто увидите это в смешанных средах или в местах, где кто-то не утвердил бюджет лицензии Windows на установку AD. Его следует тщательно оценивать, поскольку он может не поддерживать все функции современных функциональных уровней AD.

Во всех случаях ниже будет использоваться Kerberos; но обычно вам не нужно беспокоиться о деталях, поскольку они обрабатываются за вас.

Kerberos - лучший вариант для этого. Поддерживается почти во всех дистрибутивах Linux, Windows с 2000 года и Mac с 10.2. Это относительно просто настроить, если у вас уже есть существующая инфраструктура домена Windows. Если вы это сделаете, просто погуглите название и версию вашего дистрибутива и "kerberize".

Если вы все же спуститесь по маршруту активного каталога, возможно, стоит взглянуть на Центрифуги, в частности, экспресс-версия, которая бесплатна и позволяет очень просто реализовать вход по SSH без пароля. Он использует Kerberos под ним, но нет необходимости пачкать руки, настраивая его.